:电商企业法律风险类型及典型案例之三&pic=https://javy-lawyers.com/upload/1/cms/content/1704870365763.png&appkey=)
随着数字化时代的来临以及数字经济的迅速发展,加强个人信息保护已经成为应对数字化挑战、维护个人合法权益、维护网络空间健康生态、推动数字经济健康发展的关键举措。在电子商务企业的经营过程中,往往涉及对用户个人信息的收集和处理。作为个人信息处理者的电子商务企业有责任切实保障用户的个人信息合法权益,这不仅有助于提升其服务水平,增强其在数字经济时代市场竞争中的地位,尽管在短期内可能会增加个人信息处理者的运营成本,但对于其长期发展具备重要的积极影响。
电商企业在作为经营者与用户达成协议时,应当遵循合法、正当、必要的原则来处理用户的个人信息。然而,在进行个人信息处理后,电商企业也应当迅速向用户传达相关信息,以确保用户的知情权得到保障。在数字经济时代,在线交易与物流紧密相连,个人信息如联系方式、地址等可能是合同履行所不可或缺的要素。同样,作为“个人信息处理者”的电子商务平台经营者,也必须遵循合法、正当、必要的原则,以免侵害个人信息权益。
2021年3月1日,A致电B公司客服,表示其B公司客户,因其母亲接到陌生电话,对方对A购物留下来的个人信息有所了解,故担心个人信息泄露,想知道B公司收集了哪些个人信息,希望B公司披露所收集到的其个人信息(比如姓名、性别、出生年月、家庭信息、常用地址、联系方式,账户信息、设备型号操作系统版本、唯一的设备识别符、位置信息、IP地址等)。B公司客服表示:“用户有填写的信息,可以在APP个人中心予以查看,且这些信息采取了加密的保护措施,不会泄露;对于用户没有填写的信息,B公司是没有办法展示的,且鉴于登录账号XXXX用户即A本人账户没有实名认证,B公司也是没有办法知道的。”同日,A通过电子邮件向B公司隐私专职部门邮箱发送邮件,邮件内容称其刚致电了B公司客服,客服称目前没有渠道向其披露公司所收集的个人信息,因焦虑个人信息被过多收集,请求公司披露相关内容,请求披露的内容同案涉起诉附件清单。B公司未回复该邮件。 沟通未果后,A向一审法院起诉请求:一、判令B公司向A披露其在使用B公司电商网站(××)及APP客户端的过程中B公司收集的A的所有个人信息;二、判令B公司删除在周某某身上收集到的所有非必要信息。
B公司作为互联网企业,根据法律及监管部门的要求,适时对平台隐私政策及相关附件进行修改完善,不断提升用户个人信息权益的保障水平,对此应当予以肯定。但从本案的事实看,B公司的个人信息查阅复制机制仍存在进一步完善的空间。建议B公司对照《民法典》《个人信息保护法》及相关监管要求,充分发挥自身技术条件,运用信息化技术,建立常态化、便捷化的个人信息查阅复制响应机制,不断降低成本,提升效率,匹配平台用户需求,切实全面保障用户的个人信息查阅复制权。B公司于本判决发生法律效力之日起三十日内提供自A注册B公司APP之日起至本判决发生法律效力之日止的已收集到的相关个人信息以及个人信息处理的相关情况供周某某查阅、复制。 个人在信息处理者保护下享有查询和复制个人信息的权利。作为回应,信息处理者有责任确立便捷、高效的途径,以协助个人查询个人信息,进而构建便利的个人权利行使的请求受理与处理机制。 电商企业作为经营者,其在与用户达成协议的情况下遵照合法、正当、必要原则来处理用户的个人信息。但电商企业依据个人信息作出处理结果后,也需要及时告知用户相关的信息,保证用户的知情权。
1号店平台是被告B公司运营的B2C电商平台,采用企业对消费者的电子商务模式。该平台《服务协议及隐私声明》明确:销售方仅向消费者(而非经销商)提供商品或服务。每位用户仅限使用一个1号店平台账户,如有证据证明客户存在注册或使用多个1号店平台账户,或根据购买记录、数量、IP地址等因素合理怀疑非因生活消费购买商品或服务,平台有权取消订单。原告A同意该条款后注册成功,通过多个与1号店关联的账户、设备、IP地址下单购买商品,订单收货人、联系电话、送货地址大多指向原告本人。后原告再次在1号店平台下单时,其订单被系统判定为“异常订单或经销商订单”,遂被系统取消并隐藏。原告认为,被告滥用其市场支配地位,擅自取消并隐藏订单,利用技术手段欺诈消费者;被告非法使用后台存储的个人信息,筛选分析原告的购买记录,滥用并损害了原告的个人信息权益,遂诉至法院,要求被告公开被取消和隐藏的订单信息,并对涉案订单金额进行三倍赔偿。
法院经审理认为B2C电商平台针对的用户是进行正常生活消费的普通消费者(针对企业另有专门通道)。因此,《服务协议及隐私声明》中相关条款之目的系平台将相对优惠的价格之交易对象限定为普通消费者,而非以转售盈利为目的的购买者。该内容属于正常商业考量和市场行为范畴,并未违反法律法规的强制性规定和公序良俗。平台已对该格式条款尽必要的提示说明,应视为原告已知晓并同意,对双方具有约束力。其次,被告收集、处理客户账户、设备地址、联系电话、送货地址等信息,系履行合同所需,事先已征得客户同意,亦未超过约定的判断是否“因生活消费购买商品或服务”之用途目的。现被告根据收货地址及IP地址信息均指向同一主体的事实,认为原告存在“购买商品或服务等数量超过正常生活消费需求的订购行为”符合常理,据此按照协议约定取消订单并无不当,据此驳回原告赔偿请求,但被告要求恢复交易订单号信息(包括取消订单原因)之诉请,可予支持。
处理个人信息的合法性基础可采用“个人同意—法定职责”的双重框架模式:前者建立在私益的基础上,需要信息主体的明示同意;而后者基于公益的考虑,无需事先获得同意。在本案中,电商平台的信息处理行为属于前一框架,其对客户信息的处理是在事先征得同意的情况下进行的,且用于合同履行所必需且未超越合同目的。然而,订单成立或取消的原因也应向客户及时披露,以保障用户的知情权。
个人信息权益涉及个人尊严和自主权的保护,个人信息保护根植于对个人隐私的尊重和个人自主权的原则。未经合法授权处理个人信息可能侵犯自然人的人格尊严。因此,在获取用户个人信息之前,电商企业需要提前告知用户并明确使用目的,否则将会面临法律责任。综上所述,电商企业和电子商务平台经营者应在处理个人信息时遵循合规原则,以确保个人信息权益得到充分保护。
原告A诉称,其下载B电商购物App并使用个人手机号注册了账号。登录App后,原告发现B电商购物App“个人中心”栏项下有“某钱包”选项,遂按照App界面要求,在输入原告本人真实姓名及身份号码后开通了“某钱包”。在使用“某钱包”提供的“免输卡号添加银行卡”功能时,原告原本打算选择自己有卡的银行进行关联,但误触了列表中的某银行,得到了“暂无银行卡可以绑定”的反馈。原告认为,其并未授权B电商购物平台经营方告知某银行自己真实姓名及身份号码,某银行能够得知原告本人并无银行卡在该行开具,系案涉App泄露原告的敏感个人信息所致,而某银行亦因此非法获得了原告的敏感个人信息。其后,原告在B电商购物App内查阅了相关用户协议内容后还进一步发现, App的运营主体上海某公司与“某钱包”经营主体某付费通公司的运营主体并不一致,而在原告并未明确知情同意的情况下,其真实身份信息还由上海某公司传输给了某付费通公司,并极可能又由某付费通公司传输给了某银行。原告自觉权利受损,遂决定注销“某钱包”,但竟然无法注销,故向法院提起诉讼。
B电商购物平台经营者违法处理A的个人敏感信息。A在未被充分告知的情况下披露了个人敏感信息,其因个人敏感信息被违法处理产生对个人信息风险的担忧,对个人生命健康、人格尊严或经济利益可能遭受严重损害或极易遭受损害产生恐惧、焦虑等情绪,可以认定为遭受到精神利益的害。且B电商购物平台经营者作为行业内具有较大影响力的公司,更应严格依照法律法规处理用户个人信息,对于平台中违法处理个人信息的设置应予以及时发现、改进,并对相关的个人信息处理活动采取更加审慎、周密的方式,本案中B电商购物平台经营者显未尽到前述注意义务,存在明显的过错。考虑到B电商购物平台经营者对吴某某个人信息的处理行为存在意思联络,故判令两被告向A进行书面道歉并赔偿相应合理维权支出。 个人信息保护法第十三条对个人信息处理行为的合法性基础和个人信息处理规则进行了原则性的规定,同时构建了基于取得同意原则的个人信息处理合法性基础,以及以豁免同意为例外的二元结构。这一构建显示,知情同意并非信息处理行为唯一的合法性基础。为在保护个人信息权益的同时实现个人信息的合理使用,以及维护公共利益和国家利益等,通常情况下,信息处理者在为订立、履行个人作为一方当事人的合同所必需,以及为履行法定职责或法定义务所必需的处理行为等情形,也可被认定为合法的情形,从而获得法定许可。然而,在运用订立、履行合同必需规则、履行法定职责或法定义务规则等作为其信息处理行为合法性基础时,信息处理者须确保其行为符合相关规则的要求。
(未完待续)
特别声明: 本文由嘉潍律师事务所律师原创,仅代表作者本人观点,不得视为嘉潍律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容,请注明出处。
© 北京嘉潍律师事务所 京ICP备18018264号-1
